专利名称:基于量子密钥分配网络的移动加密系统及其通信方法
技术领域:
本发明属于移动通讯设备加密领域,特别涉及一种基于量子密钥分配网络的移动加密系统及其通信方法。
背景技术:
目前移动通信加密都使用对称加密算法加密,加密密钥由预置密钥和通讯过程中发生的随机数经过一些随机性算法产生。并在通信过程中,使用当前密钥加密新密钥,发送给通讯的另一方实现密钥分配和更新。加密安全性相当严重依赖于算法,而且一旦某次加密过程被破译,则用户今后所有的通信都将被破译。已经有密码分析专家称可以轻易地破解GSM通信制式的加密通信。新型计算方式的发展,例如云计算,使得获得高性能计算能力对于普通用户而言代价将越来越小,因此GSM制式的加密能力显得更加脆弱。目前GSM制式的通信仍然受到广泛使用。3G制式手机虽然保密性能较高,但是其安全性从理论上来说仍然存在缺陷,特别地,在信号较弱时,兼容GSM的3G制式手机会自动切换到GSM制式。因此,目前一般的移动通信加密能力对于安全级别要求较高的用户而言是严重不足的。量子密钥分配技术是近几年来新出现的一种新型通信加密手段,利用单光子水平上的量子态编码信息,通信双方可以共享大量的随机密钥。由于在物理原理上单光子不可分割,量子态不可克隆,因此量子密钥分配在物理原理上是不可窃听的,具有目前最高级别的安全性。量子密钥分配为大规模网络中应用不可破译的“One Time Pad”(一次一密,OTP) 方式加密数据创造了可能性。但是采用单光子量子态通信,能量极弱,无法以广播的形式传输,不能满足移动通信的要求。因此,目前的量子密钥分配技术还都只能应用在光纤网络通信上。
发明内容
本方法结合量子密钥分配网络和经典移动通信网络的优点,提供一种新型的移动加密通信方法,使之兼具量子加密通信的安全性和移动通信的便捷性。本发明针对目前移动通信中通信数据加密能力不足的现状,提供一种基于量子密钥分配网络的移动加密系统及其通信方法,利用量子密钥分网络的无条件安全性保障移动台加密通信安全;该方法可以有效地提高移动加密通信的安全性。为实现上述目的,本发明采用以下技术方案
一种基于量子密钥分配网络的移动加密系统,它包括量子密钥分配网络,量子密钥分配网络包括若干个量子集控站,每个量子集控站与至少一个量子终端通信,量子终端通过密钥更新接口与移动终端通信;
其中所述移动终端内设有存储介质和量子加密模块,存储介质存储下载的共享量子密钥,量子加密模块用于对数据进行加密;量子终端和量子集控站构成量子密钥分配网络的各级节点,量子集控站与其相连的量子终端生成共享密钥并完成密文的转发功能。—种基于量子密钥分配网络的移动加密系统的通信方法,该方法的实现步骤如下
Stepl 首先将移动终端注册入网,获得唯一的量子身份号(QID); Step2 注册后的移动终端通过密钥更新接口连接任一量子终端,并向该量子终端申请下载一定大小数据量的共享密钥;
St印3 移动终端下载密钥后,量子终端将集控站地址QIPT传递给移动终端进行更新, 移动终端将此QIPT上的集控站作为主叫集控站;
Step4 确定主叫集控站后,移动终端将密文递交到主叫集控站; St印5 主叫集控站将密文重新加密后送往被叫集控站; St印6 被叫集控站将密文重新加密后被送往被叫用户; St印7 被叫用户解密得到明文后,通信结束;
所述step2中,申请下载一定大小数据量的共享密钥时量子终端对移动终端进行身份认证,身份认证合法后,如果量子终端密钥量不足,则提请移动终端保持连接,等待量子终端和量子集控站之间生成足够的密钥后下载密钥。所述step4中,密文通过量子加密模块调用和通信数据等长的密钥和数据自身位对位进行异或计算获得。所述step5中重新加密的过程如下移动终端把密文附上自己的主叫量子身份号 QID和被叫号码,通过移动通信网络送给主叫集控站;根据主叫QID,主叫集控站调用相应的密钥解密,同时根据主叫集控站和被叫集控站共享的密钥将解密数据重新加密,再将重新加密的密文经数据重组后,经过经典网络发送给被叫集控站。所述Step6中,重新加密的过程如下被叫集控站收到密文之后,将密文解密,再根据被叫用户QID查找密钥,再次加密并进行数据重组后通过移动通信网络送给被叫用户。本发明的有益效果是
第一、在本方法中采用量子密钥分配网络分配共享密钥,可以分配大容量随机密钥,使得加密算法可以采用OTP方法,这样在加密运算中只需进行位异或加法运算。相比DES,AES 以及移动通信中常用的A8算法等等加密算法,本方法加密不需要进行多重矩阵乘法运算。 大大减轻了加密的运算量。第二、量子密钥分配网络分发密钥可保证最高级别的密钥分发安全性;
第三、移动终端可以自由地在任意一个量子终端上更新密钥,最大限度保持了移动通信的便捷性。另外,利用量子密钥分配提供的大数据量随机密钥,可以对数据流进行高度安全的数字签名。
图1为本发明的工作流程图2是量子密钥分配网络的一般性结构示意图; 图3移动终端初始注册数据加密传输流程示意图; 图4为本发明的系统原理框图; 图5为移动终端的内部结构示意图。
具体实施例方式下面结合附图和实施例对本发明作进一步说明
基于量子密钥分配网络的移动加密系统,包括移动终端、为移动终端配备的量子加密模块、密钥更新接口、量子密钥分配网络、注册中心、量子密钥分配网络终端、量子密钥分配网络集控站。以下量子密钥分配网络终端简称量子终端,量子密钥分配网络集控站简称量子集控站。如图4所示,加密系统包括量子密钥分配网络,量子密钥分配网络包括若干个量子集控站,每个量子集控站与一个相应的量子终端通信,量子终端通过密钥更新接口与移动终端通信;其中所述移动终端内设有存储介质,存储下载的共享量子密钥;量子终端和量子集控站构成量子通信经典网络的各级节点,量子集控站与其相连的量子终端生成共享密钥并完成密文的转发功能。移动终端、为移动终端配备的量子加密模块以及密钥更新接口构成本方法的移动部分;其余部分组成基础设施部分。移动终端中设有存储介质,可存储下载的共享量子密钥。量子终端和量子集控站构成量子密钥分配网络的各级节点,量子集控站的基本结构由一台或几台量子终端、密钥存储管理服务器和加密设备组成,可以和与其相连的量子终端生成共享密钥并完成密文的转发功能。注册中心通过某个量子终端接入量子密钥分配网络获取密钥,移动设备在注册时的量子身份号、身份识别数据等关键数据都用量子密钥分配网络分发的密钥以OTP方式加密通过经典网络发往注册中心。下面以从移动终端初始注册到两个使用本方法的移动终端之间完成一条加密短消息通信的过程为例,说明本发明的详细实施方案。1.移动终端初始注册移动终端需要首先申请注册许可证,该许可证为长度为 256位比特的随机数,由注册中心授权的设备写入移动终端的量子加密模块。之后移动终端可通过密钥更新接口连接任一量子终端,移动终端的量子加密模块用许可证和加密模块中固定大小的预置身份识别数据向注册中心进行身份认证,身份认证采用ffegman-Carter方案。注册中心确认身份无误后,将唯一标志该终端的量子身份号和新的身份识别数据通过量子通信网络发送给移动终端。并通知量子终端读出移动终端的电话号码返回注册中心, 注册中心更新其注册表。注册表由数量可变的的数据单元组成,每个单元数据结构如表1 所示,
表1.注册表数据结构
Al 存储移动终端电话号码,固定长40比特。A2 存储量子身份号,固定长32比特; A3 存储身份识别数据,固定长度256位。如图3所示,说明注册中心如何通过量子终端接入量子密钥分配网络获取密钥, 保证设备注册过程的数据传输安全。注册设备的许可证、身份识别数据、电话号码等关键数据由量子终端读出后以OTP方式加密经经典网络传输给注册中心;量子密钥分配网络则通过量子终端、量子集控站等各级节点间的共享密钥将加密这些关键数据的密钥传送给注册中心,注册中心可解密获得数据。反之,注册中心下发的数据也同样以OTP加密方式加密送至量子终端解密后递交移动终端。OTP加密方式和量子密钥分发的安全性保证了数据传输
5过程的安全。未注册终端需要通过以上步骤进行注册,对于已经注册过的终端可以免去该步骤,直接进行以下步骤。2.移动终端登记和共享密钥下载移动终端以量子身份号和新的身份识别数据登陆量子网络,通过密钥更新接口在某个量子终端上申请下载一定大小数据量的共享密钥,共享密钥由该量子终端和某个量子集控站共享,本实例中设置数据量大小为600兆比特,平均分为加密密钥库和解密密钥库。该密钥量可满足连续10小时以上以OTP方式加密的双向语音通话,或者15-30万条左右的短消息发送加密,下载的密钥存储于加密模块内。 量子集控站和量子终端之间如果已经通过量子密钥分配共享了大于600兆比特的密钥,则量子终端对移动终端进行身份认证,验证身份合法后同意移动终端下载密钥。如果量子终端密钥量不足,则对移动终端进行身份认证,身份认证合法后,提请移动终端保持连接,等待量子终端和量子集控站之间生成足够的密钥后下载密钥。下载完成后注册中心再次更新移动终端的身份识别数据。量子集控站用移动终端量子身份号标志集控站中相对应的被下载的共享密钥,对应移动终端中加密密钥那部分的共享密钥,集控站称为解密密钥,将其保留在一个连续的地址段中,对应移动终端中解密密钥那部分的共享密钥,集控站称为加密密钥,将其保留在另一个连续的地址段中,不让其他终端或者通信过程使用这部分密钥。并建立登记表将密钥的首尾地址信息和对应的量子身份号记录下来。登记表由数量可变的的数据单元组成,每个单元数据结构如表2所示,
表2.登记表数据结构
权利要求
1.一种基于量子密钥分配网络的移动加密系统,其特征是,它包括量子密钥分配网络, 量子密钥分配网络包括若干个量子集控站,每个量子集控站与至少一个量子终端通信,量子终端通过密钥更新接口与移动终端或非移动用户通信;其中所述移动终端内设有存储介质和量子加密模块,存储介质存储下载的共享量子密钥,量子加密模块用于对数据进行加密;量子终端和量子集控站构成量子通信网络的各级节点,量子集控站与其相连的量子终端生成共享密钥并完成密文的转发功能。
2.一种采用权利要求1所述的基于量子密钥分配网络的移动加密系统的通信方法,其特征是,该方法的实现步骤如下Stepl 首先将移动终端注册入网,获得唯一的量子身份号;Step2 注册后的移动终端通过密钥更新接口连接任一量子终端,并向该量子终端申请下载一定大小数据量的共享密钥;St印3 移动终端下载密钥后,量子终端将集控站地址QIPT传递给移动终端进行更新, 移动终端将此QIPT上的集控站作为主叫集控站;Step4 确定主叫集控站后,移动终端将密文递交到主叫集控站;St印5 主叫集控站将密文重新加密后送往被叫集控站;St印6 被叫集控站将密文重新加密后被送往被叫用户;St印7 被叫用户解密得到明文后,通信结束。
3.如权利要求2所述的基于量子密钥分配网络的移动加密通信方法,其特征是,所述 step2中,申请下载一定大小数据量的共享密钥时量子终端对移动终端进行身份认证,身份认证合法后,如果量子终端密钥量不足,则提请移动终端保持连接,等待量子终端和量子集控站之间生成足够的密钥后下载密钥。
4.如权利要求2所述的基于量子密钥分配网络的移动加密通信方法,其特征是,所述 step4中,密文通过量子加密模块调用和通信数据等长的密钥和数据自身位对位进行异或计算获得。
5.如权利要求2所述的基于量子密钥分配网络的移动加密通信方法,其特征是,所述 step5中重新加密的过程如下移动终端把密文附上自己的主叫QID和被叫号码,通过移动通信网络送给主叫集控站;根据主叫QID,主叫集控站调用相应的密钥解密,同时根据主叫集控站和被叫集控站共享的密钥将解密数据重新加密,再将重新加密的密文经数据重组后,经过经典网络发送给被叫集控站。
6.如权利要求2所述的基于量子密钥分配网络的移动加密通信方法,其特征是,所述 step6中,重新加密的过程如下被叫集控站收到密文之后,将密文解密,再根据被叫用户 QID查找密钥,再次加密并进行数据重组后通过移动通信网络送给被叫用户。
全文摘要
本发明公开了基于量子密钥分配网络的移动加密系统及其通信方法,该方法首先将移动终端注册入网;注册后的移动终端通过密钥更新接口连接任一量子终端,并向该量子终端申请下载一定大小数据量的共享密钥;移动终端下载密钥后,量子终端将量子集控站地址传递给移动终端进行更新,移动终端将此量子集控站地址上的集控站作为主叫集控站;确定主叫集控站后,移动终端将密文递交到主叫集控站;主叫集控站将密文重新加密后送往被叫集控站;被叫集控站将密文重新加密后被送往被叫用户;被叫用户解密得到明文后,通信结束;本方法加密不需要进行多重矩阵乘法运算,大大减轻了加密的运算量;同时量子密钥分配网络分发密钥可保证最高级别的密钥分发安全性。
文档编号H04W12/04GK102196425SQ20111018408
公开日2011年9月21日 申请日期2011年7月1日 优先权日2011年7月1日
发明者彭承志, 江晓, 潘建伟, 赵勇, 赵梅生, 陈增兵, 陈腾云 申请人:安徽量子通信技术有限公司, 山东量子科学技术研究院有限公司